Google Аутентификатор
-
Обзор Google Authenticator
- Google Authenticator — это программное обеспечение для многофакторной аутентификации.
- Оно использует одноразовые пароли на основе времени (TOTP) и одноразовые пароли на основе HMAC (HOTP).
- Приложение генерирует одноразовые пароли для входа на сайты и в приложения, поддерживающие двухфакторную аутентификацию.
-
Поддержка платформ
- Google Authenticator доступен для Android, Wear OS, BlackBerry и iOS.
- Существует официальный форк приложения для Android с открытым исходным кодом на GitHub, но он был заархивирован.
- Текущие версии являются проприетарными бесплатными программами.
-
Процесс использования
- Приложение устанавливается на смартфон и настраивается для каждого сайта.
- Секретный ключ, предоставленный сайтом, сохраняется в приложении.
- При входе на сайт пользователь вводит имя пользователя и пароль, а затем вводит одноразовый пароль, сгенерированный приложением.
-
Безопасность и уязвимости
- Двухфакторная аутентификация с использованием Google Authenticator повышает безопасность аккаунта, требуя знания секретного ключа или физического доступа к устройству.
- Существует риск атаки «человек посередине», где вредоносная программа может перехватить учетные данные и одноразовый пароль.
-
Технические детали
- При настройке генерируется 80-битный секретный ключ, который передается в приложение в виде строки base32 или QR-кода.
- Приложение вычисляет хэш-значение HMAC-SHA1 с использованием секретного ключа.
-
История и лицензия
- Приложение изначально было с открытым исходным кодом, но позже стало проприетарным.
- Последний релиз с открытым исходным кодом был выпущен в 2020 году.
-
Дополнительные ресурсы
- Ссылки на многофакторную аутентификацию, одноразовые пароли на основе HMAC и другие приложения TOTP.
- Рекомендации по использованию Google Authenticator и ссылки на исходный код.
Полный текст статьи: